« 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」 | Main | NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告 »

2022.07.06

NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

こんにちは、丸山満彦です。

NISTがNISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用を公表し、意見募集をしていますね。。。

NISTサイバーセキュリティフレームワークの改訂作業が進んでいますが、こちらの改訂は、今のバージョンの対応の中での改訂ですね。。。

5つのサイバーセキュリティ・フレームワーク(CSF)サブカテゴリーと2つの附属書が追加されたということですが、目次レベルでは、

  • 4.1.5 Risk Management Strategy
  • Appendix D— Applying the PNT Profile to Cybersecurity Risk Management
  • Appendix E— Organization Specific PNT Profiles

が追加されていますね。。。

 

NISTIR 8323 Rev. 1 (Draft) Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用
Announcement 発表
The national and economic security of the United States (US) is dependent upon the reliable functioning of the nation’s critical infrastructure. Positioning, Navigation, and Timing (PNT) services are widely deployed throughout this infrastructure. In a government-wide effort to mitigate the potential impacts of a PNT disruption or manipulation, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services was issued on February 12, 2020. 米国の国家および経済の安全保障は、国家の重要なインフラの信頼性の高い機能に依存している。測位・航法・計時(PNT)サービスは、このインフラ全体に広く展開されている。PNTの中断や操作による潜在的な影響を緩和するための政府全体の取り組みとして、2020年2月12日に、大統領令 (EO) 13905, 測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化が発行さた。商務省(DoC)の一部である国立標準技術研究所(NIST)は、EOに詳述されているように、Sec.4実施(a)に対応して、この自主的なPNTプロファイルを作成した。
NIST, as part of the Department of Commerce (DoC), produced this voluntary PNT Profile (as NIST IR 8323) in response to Sec.4 Implementation (a), as detailed in the EO. The PNT Profile was created by using the NIST Cybersecurity Framework and can be used as part of a risk management program to help organizations manage risks to systems, networks, and assets that use PNT services. The PNT Profile is intended to be broadly applicable and can serve as a foundation for the development of sector-specific guidance. This PNT Profile provides a flexible framework for users of PNT to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. PNTプロファイル (NIST IR 8323) は、NISTサイバースセキュリティフレームワークを使用して作成され、組織がPNTサービスを使用するシステム、ネットワーク、および資産に対するリスクを管理するためのリスク管理プログラムの一部として使用することができる。PNTプロファイルは、広く適用できることを意図しており、セクター固有のガイダンスを開発するための基盤として機能することができる。このPNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。
This Revision includes five (5) new cybersecurity framework (CSF) subcategories, and two (2) new appendices. 本改訂では、新たに5つのサイバーセキュリティ・フレームワーク(CSF)サブカテゴリーと2つの附属書が追加された。

 

・[PDF] NISTIR 8323 Rev. 1 (Draft)

20220706-54803

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
Executive Order 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing (PNT) Services, was issued on February 12, 2020 [EO 13905]. It seeks to protect the national and economic security of the United States from the disruption or manipulation of systems that form or use PNT data and information vital to the functioning of U.S. critical infrastructure and technology-based industries. The Executive Order (EO) directs the Department of Commerce to develop a PNT Profile that will address the four components of responsible use of PNT, as stated in the EO:  大統領令13905「測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化 」は、2020年2月12日に発令された[EO 13905]。これは、米国の重要インフラや技術ベースの産業の機能に不可欠なPNTデータや情報を形成または使用するシステムの破壊や操作から、米国の国家および経済の安全保障を守ることを目的としている。大統領令(EO)は、商務省に、大統領令に記載されているように、PNTの責任ある使用の4つの要素に対処するPNTプロファイルを開発するよう指示している。
1.            Identify systems that use or form PNT data.  1. PNTデータを使用または形成するシステムを特定する。
2.            Identify PNT data sources.  2. PNTデータのソースを特定する。
3.            Detect disruption and manipulation of the systems that form or use PNT services and data.  3. PNTのサービスやデータを形成・利用しているシステムの破壊や操作を検知する。
4.            Manage risk regarding responsible use of these systems.  4. これらのシステムの責任ある使用に関するリスクを管理する。
The PNT Profile provides a flexible framework for users of PNT services to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, and unintentional. It was created by applying the NIST Cybersecurity Framework (CSF) [NIST CSF] and can be applied to all organizations that use PNT services, irrespective of the level of familiarity or knowledge that they have with the NIST CSF. Organizations that have fully or partially adopted, or who have not adopted the NIST CSF can benefit.  PNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。これは、NIST サイバーセキュリティフレームワーク (CSF) [NIST CSF]を適用して作成されたもので、PNTサービスを利用するすべての組織に適用することができ、CSFの精通度や知識のレベルに関係なく適用することができる。CSF を完全にまたは部分的に採用している組織も、CSF を採用していない組織も恩恵を受けることができる。
The PNT Profile is voluntary and does not: issue regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. Sector-specific agencies (SSAs) and entities may wish to augment or further develop their own PNT cybersecurity efforts via full or partial implementation of the recommended practices in this document. Any implementation of its recommendations will not necessarily protect organizations from all PNT disruption or manipulation. Each organization is encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and components. The PNT Profile’s strategic focus is to supplement preexisting resilience measures and elevate the postures of less mature initiatives.  PNT プロファイルは自主的なものであり、規制を発行したり、強制的な慣行を定義したり、遵守のためのチェックリストを提供したり、法的な権限を与えたりするものではない。PNTプロファイルは、基礎となるガイドラインを提供することを意図している。セクター別の機関(SSA)や事業体は、本文書の推奨プラクティスの全面的または部分的な実施を通じて、独自の PNT サイバーセキュリティの取り組みを強化したり、さらに発展させたりすることを望むかもしれない。本文書の推奨事項を実施したからといって、すべての PNT の混乱や操作から組織を保護できるとは限らない。各組織は、独自のサイバーエコシステム、アーキテクチャ、およびコンポーネントの文脈の中でリスク管理の決定を行うことが推奨される。PNT プロファイルの戦略的な焦点は、既存のレジリエンス対策を補完し、あまり成熟していないイニシアティブの姿勢を向上させることである。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Objectives 1.1 目的と目標
1.2 Scope 1.2 範囲
1.3 Audience 1.3 想定読者
2 Intended Use 2 使用目的
3 Overview 3 概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview 3.2 サイバーセキュリティフレームワークの概要
4 The PNT Profile 4 PNTプロファイル
4.1 Identify Function 4.1 識別機能
4.1.1 Asset Management Category 4.1.1 資産管理カテゴリー
4.1.2 Business Environment Category 4.1.2 ビジネス環境カテゴリー
4.1.3 Governance Category 4.1.3 ガバナンスカテゴリー
4.1.4 Risk Assessment Category 4.1.4 リスクアセスメントカテゴリー
4.1.5 Risk Management Strategy 4.1.5 リスクマネジメント戦略
4.1.6 Supply Chain Risk Management Category 4.1.6 サプライチェーンリスクマネジメントカテゴリー
4.2 Protect Function 4.2 防御機能
4.2.1 Access Control Category 4.2.1 アクセス制御カテゴリー
4.2.2 Awareness and Training Category 4.2.2 意識向上およびトレーニングカテゴリー
4.2.3 Data Security Category 4.2.3 データセキュリティカテゴリー
4.2.4 Information Protection Processes and Procedures Category 4.2.4 情報を保護するためのプロセスおよび手順カテゴリー
4.2.5 Maintenance Category 4.2.5 保守カテゴリー
4.2.6 Protective Technology Category 4.2.6 保護技術カテゴリー
4.3 Detect Function 4.3 検知機能
4.3.1 Anomalies and Events Category 4.3.1 異常とイベントカテゴリー
4.3.2 Security Continuous Monitoring Category 4.3.2 セキュリティの継続的なモニタリングカテゴリー
4.3.3 Detection Processes Category 4.3.3 検出プロセスカテゴリー
4.4 Respond Function 4.4 対応機能
4.4.1 Response Planning Category 4.4.1 対応計画の作成カテゴリー
4.4.2 Communications Category 4.4.2 コミュニケーションカテゴリー
4.4.3 Analysis Category 4.4.3 分析カテゴリー
4.4.4 Mitigation Category 4.4.4 緩和カテゴリー
4.4.5 Improvements Category 4.4.5 改善カテゴリー
4.5 Recover Function 4.5 復旧機能
4.5.1 Recovery Planning Category 4.5.1 復旧計画カテゴリー
4.5.2 Improvements Category 4.5.2 改善カテゴリー
4.5.3 Communications Category 4.5.3 コミュニケーションカテゴリー
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms and Abbreviations 附属書 A- 略語と略語
Appendix B— Glossary 附属書 B- 用語集
Appendix C— Additional Resources 附属書 C- その他のリソース
Appendix D— Applying the PNT Profile to Cybersecurity Risk Management 附属書 D- PNTプロファイルのサイバーセキュリティリスク管理への適用
Appendix E— Organization Specific PNT Profiles 附属書 E- 組織固有の PNT プロファイル

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

 

 

|

« 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」 | Main | NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」 | Main | NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告 »